Hình 2.12 là sơ đồ đĩng gĩi L2TP qua kiến trúc mạng từ một IP-VPN client thơng qua một kết nối IP-VPN truy nhập từ xa sử dụng một modem tương tự.
Hình 2.12: Sơđồđĩng gĩi L2TP
Các bước sau mơ tả quá trình đĩ:
• Một IP datagram, IPX datagram, hoặc NetBEUI Frame được đưa tới giao diện ảo đại diện cho kết nối IP-VPN sử dụng NDIS bằng giao thức thích hợp.
• NDIS đưa các gĩi tới NDISWAN, tại đây cĩ thể nen và cung cấp PPP Header chỉ bao gồm trường chỉ số PPP Protocol. Các trương Flag hay FCS khơng
được thêm vào.
• NDISWAN gửi khung PPP tới giao thức L2TP, nơi đĩng gĩi PPP Frame với một L2TL Header. Trong L2TP Header, chỉ số đường ngầm và chỉ số cuộc gọi
được thiết lập với các giá trị thịch hợp để xác định đường ngầm.
• Giao thức L2TP gửi gĩi thu được tới giao thức TCP/IP với thơng tin để
gửi gĩi L2TP như một bản tin UDP từ cổng UDP 1701 tới cổng UDP 1701 với các địa chỉ IP của IP-VPN client và IP-VPN server.
• Giao thức TCP/IP xây dựng một gĩi IP với các IP Header và UDP Header thích hợp. IPSec sau đĩ sẽ phân tích gĩi IP và so sánh nĩ với chính sách IPSec hiện thời. Dựa trên những thiết lập trong chính sách, IPSec đĩng gĩi và mật mã phần bản tin UDP của gĩi IP sử dụng các ESP Header và Trailer phù hợp. IP Header ban đầu với Protocol field được đặt là 50 được thêm vào phía trước của gĩi ESP. Giao thức TCP/IP sau đĩ gửi gĩi thu được tới giao diện đại diện cho kết nối quay số tới local ISP sử dụng NDIS.
• NDISWAN cung cấp PPP Header và Trailer và gửi khung PPP thu được tới cổng AN thích hợp đại diện cho phần cứng dial-up.
2.5 Tổng kết
Chương này đã đưa ra khái niêm và giới thiệu chung về cơng nghệ IP-VPN.
Đây là một cơng nghệ khơng mới, nhưng với sự phát triển mạnh mẽ của mạng Internet trên tồn cầu thì thị trường IP-VPN sẽ rất phát triển. Với các tổ chức cĩ mạng lưới rộng khắp, sử dụng cơng nghệ này sẽ rất hiệu quả trong truyền thơng giữa các thành viên của hãng ở các vùng địa lí khác nhau, đảm bảo phát triển các văn phịng mới một cách mềm dẻo, dễ dàng tiếp cận với khách hàng một cách trực tiếp và điều quan trọng là tính an tồn thơng tin.
Theo cấu trúc cơ bản, cĩ 2 loại VPN: Site-to-Site IP-VPN và Remote VPN. Trong đĩ Site-to-Site bao gồm 2 mơ hình là: Intranet IP-VPN được sử dụng để kết nối các mạng LAN văn phịng ở xa của một tổ chức; Extranet IP-VPN được sử dụng cho các ứng dụng kết nối trực tuyến tới khách hàng của tổ chức. Từ những khái niệm được trình bày ta cĩ thể nhận ra rằng đối tuợng và phạm vi kết nối của Extranet VPN cĩ phần rộng hơn Intranet VPN. Do đối tượng kết nối luơn thay đổi và khĩ cĩ thể đảm bảo trước nên yêu cầu bảo mật cũng cao hơn. Remote IP-VPN được ứng dụng cho những người làm việc lưu động hoặc những văn phịng ở xa dung lượng nhỏ.
Mạng IP-VPN bao gồm các khối cơ bản sau: điều khiển truy nhập, nhận thực, an ninh, truyền Tunnel và các thỏa thuận mức dịch vụ. Đây là những vấn đề rất phức tạp và yêu cầu nhiều giao thức kết hợp với nhau để thực hiện được các chức năng của mạng IP-VPN một cách hiện quả. Trong đĩ, đường ngầm là nền tảng của IP-VPN.
Trong chương này giới thiệu chung về các giao thức đường ngầm đang tồn tại sử dụng cho IP-VPN, trong đĩ hai giao thức đường ngầm PPTP và L2TP là 2 giao thức đã hịan thành và hoạt động phổ biến trong giai đoạn hiện nay.
Chương tiếp theo trình bày về giao thức IPSec, một giao thức được xem như tối
CHƯƠNG 3
GIAO THỨC IPSEC CHO IP-VPN 3.1 Gới thiệu
Trong chương 2 đã trình bày về các giao thức đường ngầm PPTP và L2TP sử
dụng để xây dựng mạng IP-VPN. Trong chương này sẽ trình bày về giao thức IPSec, một giao thức được coi là tối ưu nhất cho IP-VPN. Như ta đã biết, mạng Internet nguyên thủy được phát triển để truyền thơng giữa các máy tính tin cây, vì vậy nĩ khơng hỗ trợ các dịch vụ an ninh. Cùng với sự phát triển rộng khắp của Internet trên tịan cầu thì vấn đề an ninh là một trong những vấn đề quan trọng. Giao thức IPSec được phát triển để giải quyết vấn đề an ninh này và trong IP-VPN là một trong những ứng dụng của nĩ.
3.1.1 Khái niệm về IPSec
IPSec (Internet Protocol Security) là một giao thức được IETF phát triển. IPSec
được định nghĩa là một giao thức trong tầng mạng cung cấp các dịch vụ bảo mật, nhận thực, tồn vẹn dữ liệu và điều khiển truy cập. Nĩ là một tập hợp các tiêu chuẩn mở làm việc cùng nhau giữa các phần thiết bị.
Một cách chung nhất, IPSec cho phép một đường ngầm bảo mật thiết lập giữa 2 mạng riêng và nhận thực hai đầu của đường ngầm này. Các thiết bị giữa hai đầu đường ngầm cĩ thể là một cặp host, hoặc một cặp cổng bảo mật (cĩ thể là router, firewall, bộ
tập trung VPN) hoặc một cặp thiết bị gồm một host và một cổng bảo mật. Đường ngầm đĩng vai trị là một kênh truyền bảo mật giữa hai đầu và các gĩi dữ liệu yêu cầu an tồn được truyền trên đĩ. IPSec cũng thực hiện đĩng gĩi dữ liệu các thơng tin để
thiết lập, duy trì và hủy bỏ kênh truyền khi khơng dùng đến nữa. Các gĩi tin truyền trong đường ngầm cĩ khuơn dạng giống như các gĩi tin bình thường khác và khơng làm thay đổi các thiết bị, kiến trúc cũng như những ứng dụng hiện cĩ trên mạng trung gian, qua đĩ cho phép giảm đáng kể chi phí để triển khai và quản lý.
IPSec cĩ hai cơ chế cơ bản để đảm bảo an tồn dữ liệu đĩ là AH (Authentication Header) và ESP (Encapsulating Security Payload), trong đĩ IPSec phải hỗ trợ ESP và cĩ thể hỗ trợ AH:
• AH cho phép xác thực nguồn gốc dữ liệu, kiểm tra tính tồn vẹn dữ liệu và dịch vụ tùy chọn chống phát lại của các gĩi IP truyền giữa hai hệ thống. AH khơng cung cấp tính bảo mật, điều này cĩ nghĩa là nĩ gửi đi thơng tin dưới dạng bản rõ.
• ESP là một giao thức cung cấp tính an tồn của các gĩi tin được truyền bao gồm: Mật mã dữ liệu, xác thực nguồn gốc dữ liệu, kiểm tra tính tồn vẹn phi kết nối của dữ liệu. ESP đảm bảo tính bí mật của thơng tin thơng qua việc mật mã gĩi tin IP. Tất cả lưu lương ESP đều được mật mã giữa hai hệ thống. Với đặc điểm này thì xu hướng sẽ sử dụng ESP nhiều hơn AH để tăng tính an tồn cho dữ liệu.
• Cả AH và ESP là các phương tiện cho điều khiển truy nhập, dựa vào sự
phân phối của các khĩa mật mã và quản lý các luồng giao thơng cĩ liên quan đến những giao thức an tồn này.
Những giao thức này cĩ thể được áp dụng một mình hay kết hợp với nhau để
cung cấp tập các giao thức an tồn mong muốn trong IPv4 và IPv6, nhưng cách chúng cung cấp các dịch vụ là khác nhau. Đối với cả hai giao thức AH và ESP này, IPSec khơng định các thuật tốn an tồn cụ thể được sử dụng, mà thay vào đĩ là một khung chuẩn để sử dụng các thuật tốn theo tiêu chuẩn cơng nghiệp. IPSec sử dụng các thuật tốn: Mã nhận thực bản tin trên cơ sở băm (HMAC), thuật tốn MD5 (Message Digest 5), thuật tốn SHA-1 để thực hiện chức năng tồn vẹn bản tin; Thuật tốn DES, 3DES để
mật mã dữ liệu; Thuật tốn khĩa chia sẻ trước, RSA chữ ký số và RSA mật mã giá trị
ngẫu nhiên (Nonces) để nhận thực các bên. Ngồi ra các chuẩn cịn định nghĩa việc sử
dụng các thuật tốn khác như IDEA, Blowfish và RC4.
IPSec cĩ thể sử dụng giao thức IKE (Internet Key Exchange) để xác thực hai phía và làm giao thức thương lượng các chính sách bảo mật và nhận thực thơng qua việc xác định thuật tốn được dùng để thiết lập kênh truyền, trao đổi khĩa cho mỗi phiên kết nối, dùng trong mỗi phiên truy cập. Mạng dùng IPSec để bảo mật các dịng dữ liệu cĩ thể tựđộng kiểm tra tính xác thực của thiết bị bằng giấy chứng nhận số của hai người dùng trao đổi thơng tin qua lại. Việc thương lượng này cuối cùng dẫn đến thiết lập kết hợp an ninh (SAs) giữa các cặp bảo mật, kết hợp an ninh này cĩ tính chất hai chiều trực tiếp. Thơng tin kết hợp an ninh được lưu trong cơ sử dữ liệu liên kế an ninh, và mỗi SA được ấn định một số tham số an ninh trong bảng mục lục sao cho khi kết hợp một địa chỉđích với giao thức an ninh (ESP hoặc AH) thì cĩ duy nhất một SA.
3.1.2 Các chuẩn tham chiếu cĩ liên quan
IETF đưa ra một loạt các RFC (Request for Comment) cĩ liên quan đến IPSec:
Bảng 3.1: Các RFC đưa ra cĩ liên quan đến IPSec
RFC Tiêu đề Chủđề Thời gian
1825 Security Architure for the Internet Protocol
(kiến trúc bảo mật cho giao thức Internet)
1826 IP Authentication Header
(nhận thực tiêu đề IP)
AH 8/1995
1827 IP Encapsulating Security Payload
(đĩng gĩi an tồn tải tin IP)
ESP 8/1995
1828 IP Authentication Using Keyed MD5
(nhận thực IP sử dụng khĩa MD5)
MD5 8/1995
1829 The ESP DES-CBC Transform
(sự biến đổi ESP nhờ DES-CBC)
DES 8/1995
2104 HMAC: Keyed-Hashing for Message Authentication
(HMAC: khĩa băm cho nhận thực bản tin)
HMAC 1/1997
2202 Test Cases for HMAC-MD5 and HMAC- SHA-1
(các trường hợp kiểm tra cho HMAC- MD5 và HMAC-SHA-1)
HMAC-MD5 HMAC-SHA-1
9/1997
2401 Security Architure for the Internet Protocol
IPSec 10/1998
2402 IP Authentication Header AH 10/1998
2403 The Use of HMAC-MD5-96 within ESP and AH
(sử dụng HMAC-MD5-96 cùng với ESP)
HMAC-MD5 10/1998
2404 The Use of HMAC-SHA-1-96 within ESP and AH
(sử dụng HMAC-SHA-1-96 cùng với ESP và AH)
HMAC-SHA-1 10/1998
2405 The ESP DES-CBC Cipher Algorithm With Explicit IV
(Thuật tốn mã hĩa ESP DES-CBC cùng IV (vectơ khởi tạo))
DES 10/1998
2406 IP Encapsulating Security Payload ESP 10/1998
2407 The Internet IP Security Domain of Interpretation for ISAKMP
(bảo mật gĩi tin IP trong phạm vi làm sáng tỏ cho ISAKMP)
2408 Internet Security Association and Key Management Protocol
(giao thức quản lý kết hợp an ninh Internet và khĩa)
ISAKMP 10/1998
2409 The Internet Key Exchange
(phương thức trao đổi khĩa Internet)
IKE 10/1998
2410 The NULL Encryption Algorithm and Its Use With IPSec
(vơ hiệu thuật tốn bảo mật và sử dụng nĩ với IPSec)
NULL 10/1998
2451 The ESP CBC-Mode Cipher Algorithms
(thuật tốn mật mã kiểu CBC cho ESP)
CBC 10/1998
3.2 Đĩng gĩi thơng tin của IPSec 3.2.1 Các kiểu sử dụng 3.2.1 Các kiểu sử dụng
IPSec cĩ hai kiểu cung cấp nhận thực và mã hĩa mức cao để thực hiện đĩng gĩi thơng tin, đĩ là kiểu Transport (truyền tải) và kiểu Tunnel (đường ngầm). Sau đây chúng ta sẽ xét đến hai kiểu này trước khi tìm hiểu về các giao thức AH và ESP:
3.2.1.1 Kiểu Transport
Trong kiểu này, vấn đề an ninh được cung cấp bởi các giao thức lớp cao hơn (từ
lớp 4 trở lên). Kiểu này bảo vệ phần tải tin của gĩi nhưng vẫn để phần IP header ban
đầu ở dạng bản rõ. Địa chỉ IP ban đầu được sử dụng đểđịnh tuyến gĩi qua Internet.
Hình 3.1 Gĩi tin IP ở kiểu Transport
Kiểu Transport cĩ ưu điểm là chỉ thêm vào gĩi IP ban đầu một số it byte. Nhược điểm là kiểu này cho phép các thiết bị trong mạng nhìn thấy địa chỉ nguồn và
đích của gĩi tin và cĩ thể thực hiện một số xử lý (ví dụ như phân tích lưu lượng) dựa Authenticated Encrypted Authenticated Original Header AH Header Payload Original Header ESP Header Payload AH- kiểu Transport ESP- kiểu Transport
trên các thơng tin của IP header. Tuy nhiên nếu được mật mã bởi ESP thì sẽ khơng biết
được dữ liệu cụ thể bên trong gĩi IP là gì. Theo như IETF thì kiểu Transport chỉ cĩ thể được sử dụng khi hai hệ thống đầu cuối IP-VPN cĩ thực hiện IPSec.
3.1.1.2 Kiểu Tunnel
Kiểu này bảo vệ tồn bộ gĩi IP. Gĩi IP ban đầu (bao gồm cả IP header) được xác thực hoặc mật mã. Sau đĩ, gĩi IP đã mã hĩa được đĩng gĩi vào một IP header mới. Địa chỉ IP bên ngồi được sử dụng cho định tuyến gĩi IP truyền qua Internet.
Hình 3.2: Gĩi tin IP ở kiểu Tunnel
Trong kiểu Tunnel, tồn bộ gĩi IP ban đầu được đĩng gĩi và trở thành Payload của gĩi IP mới. Kiểu này cho phép các thiết bị mạng như router thực hiện xử lý IPSec thay cho các trạm cuối (host). Hình 3.3 là ví dụ: Router A xử lý các gĩi từ host A, gửi chúng vào đường ngầm. Router B xử lý các gĩi nhận được trong đường ngầm, đưa về
dạng ban đầu và chuyển hĩa chúng tới host B. Như vậy, các trạm cuối khơng cần thay
đổi nhưng vẫn cĩ được tính an tồn dữ liệu của IPSec. Ngồi ra, nếu sử dụng kiểu Tunnel, các thiết bị trung gian trong mạng sẽ chỉ cĩ thể nhìn thấy được các địa chỉ hai
điểm cuối của đường hầm (ởđây là các router A và B). Khi sử dụng kiểu Tunnel, các
đầu cuối của IP-VPN khơng cần phải thay đổi ứng dụng hay hệđiều hành.
Hình 3.3: Thiết bị mạng thực hiện IPSec kiểu Tunnel
Authenticated Encrypted Authenticated Original Header AH Header Payload Original Header ESP Header Payload AH- kiểu Tunnel ESP- kiểu Tunnel New Header New Header
3.2.2 Giao thức tiêu đề xác thực AH
3.2.2.1 Giới thiệu
Giao thức AH (Authentication Header) được định nghĩa trong RFC 1826 và sau
đĩ là phát triển lại trong RFC 2402. AH cung cấp xác thực nguồn gốc dữ liệu (data origin authentication), kiểm tra tính tồn vẹn dữ liệu (data integrity), và dịch vụ chống phát lại (anti-replay service). Đến đây, cần phải phân biệt được hai khái niệm tồn vẹn dữ liệu và chống phát lại: tồn vẹn dữ liệu là kiểm tra những thay đổi của từng gĩi tin IP, khơng quan tâm đến vị trí các gĩi trong luồng lưu lượng; cịn dịch vụ chống phát lại là kiểm tra sự phát lặp lại một gĩi tin tới địa chỉ đích nhiều hơn một lần. AH cho phép xác thực các trường của IP header cũng như dữ liệu của các giao thức lớp trên, tuy nhiên do một số trường của IP header thay đổi trong khi truyền và phía phát cĩ thể
khơng dự đốn trước được giá trị của chúng khi tới phía thu, do đĩ giá trị của các trường này khơng bảo vệ được bằng AH. Cĩ thể nĩi AH chỉ bảo vệ một phần của IP header mà thơi. AH khơng cung cấp bất cứ xử lý nào về bảo mật dữ liệu của các lớp trên, tất cả đều được truyền dưới dạng văn bản rõ. AH nhanh hơn ESP, nên cĩ thể
chọn AH trong trường hợp chắc chắn về nguồn gốc và tính tồn vẹn của dữ liệu nhưng tính bảo mật dữ liệu khơng cần được chắc chắn.
Giao thức AH cung cấp chức năng xác thực bằng cách thực hiện một hàm băm một chiều (one-way hash function) đối với dữ liệu của gĩi để tạo ra một đoạn mã xác thực (hash hay message digest). Đoạn mã đĩ được chèn vào thơng tin của gĩi truyền
đi. Khi đĩ, bất cứ thay đổi nào đối với nội dung của gĩi trong quá trình truyền đi đều
được phía thu phát hiện khi nĩ thực hiện cùng với một hàm băm một chiều đối với gĩi dữ liệu thu được và đối chiếu nĩ với giá trị hash đã truyền đi. Hàm băm được thực hiện trên tồn bộ gĩi dữ liệu, trừ một số trường trong IP header cĩ giá trị bị thay đổi trong quá trình truyền mà phía thu khơng thể dự đốn trước được (ví dụ trường thời gian sống của gĩi tin bị các router thay đổi trên đường truyền dẫn).
3.2.2.2 Cấu trúc gĩi tin AH
Các thiết bị sử dụng AH sẽ chèn một tiêu đề vào giữa lưu lượng cần quan tâm của IP datagram, ở giữa phần IP header và header lớp 4. Bởi vì AH được liên kết với IPSec, IP-VPN cĩ thểđịnh dạng để chọn lưu lượng nào cần được an tồn và lưu lượng nào khơng cần phải sử dụng giải pháp an tồn giữa các bên. Ví dụ như bạn cĩ thể chọn
để xử lý lưu lượng email nhưng khơng đối với các dịch vụ web. Quá trình xử lý chèn